Ouvrir le menu principal

MacGeneration

Recherche

Retenez-vous de faire PyPI : il y a des fuites

Pierre Dandumont

lundi 18 décembre 2023 à 17:00 • 19

Ailleurs

Si vous codez en Python, vous avez probablement déjà employé PyPI (Python Package Index). En effet, des gestionnaires comme pip, qui permettent de télécharger des scripts en Python, récupèrent les données dans cette base de données, à la manière d'un App Store. Et des chercheurs de chez Eset (spécialisée dans la sécurité) viennent de montrer que c'était parfois une mauvaise idée : vous risquez de vous retrouver avec un logiciel malveillant sur votre ordinateur.

Le logo de PyPi.

La bonne nouvelle, c'est que les malwares installés ne semblent pas toucher macOS, mais attaquent Windows et les distributions GNU/Linux. La mauvaise, c'est que si vous codez en Python avec un de ces deux systèmes, vous avez peut-être été infecté : les chercheurs indiquent qu'ils ont noté plus de 10 000 téléchargements pour un des package infectés, et une moyenne de 80 installations par jour depuis mai 2023.

Il faut bien comprendre comment fonctionne PyPI : il propose de nombreux package, c'est-à-dire des logiciels en Python. Ils peuvent être fournis sous la forme de code (les sources) ou dans des versions déjà compilées pour des versions précises. Le gestionnaire tend à proposer cette seconde version (nommée wheel) quand elle est disponible, et — dans certains cas — elle est différente des sources… et infectée par un programme malveillant.

Les téléchargements étaient assez réguliers (image Eset)

Ils montrent quelques exemples d'attaques possibles, avec l'importation de modules malicieux au milieu des sources, ou tout simplement l'inclusion de commandes PowerShell (un outil Microsoft) pour exécuter du code. D'autres récupèrent tout simplement du code malicieux depuis Dropbox, par exemple. Ils expliquent aussi que les programmes tentent de s'installer en profondeur, soit avec du code en VBScript (sous Windows) ou en s'attaquant à certains gestionnaires de bureaux sous GNU/Linux.

Enfin, les malandrins récupèrent les malwares eux-mêmes, implémentés en Python sous Windows et en Go sous GNU/Linux. Il y a plusieurs versions, mais ils permettent l'exécution de commandes à distance, la récupération de fichiers (évidemment à l'insu de l'utilisateur) et parfois même la possibilité de prendre des captures d'écran. Différents malwares existent, mais ils s'attaquent essentiellement aux cryptomonnaies, comme le Bitcoin, l'Ethereum ou le Monero. Il y a même des attaques insidieuses, qui consistent à vérifier le contenu du presse-papier pour détecter une éventuelle adresse liée à un portefeuille numérique. En clair, les logiciels infectés sur PyPI peuvent amener des fuites (de données).

Il faut tout de même noter que les programmes malicieux découverts ne sont plus en ligne (la liste est disponible ici) et que le problème n'est pas lié à la sécurité de PyPI, mais plus au fait qu'il est parfois compliqué de vérifier la présence d'un malware dans du code, même s'il est open source. Et donc qu'une vérification des données que vous allez télécharger et installer n'est pas superflue, surtout si vous avez des données sensibles sur votre ordinateur.

Source :

Image d'ouverture : Faucet par smalllikeart

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Sortie de veille : WWDC 2025, l’édition de tous les risques ?

08:00

• 3


Pourquoi la France est-elle privée d’AI Overviews par Google ?

28/03/2025 à 21:15

• 17


Quand la reconnaissance faciale vous interdit l’entrée d’un concert pour un post sur les réseaux sociaux

28/03/2025 à 20:30

• 52


Apple, Meta : l’Union Européenne aurait prévu des amendes modestes pour limiter les tensions avec Donald Trump

28/03/2025 à 18:45

• 57


Faites le grand ménage de printemps sur votre Mac avec Mac Washing Machine X9 ! 📍

28/03/2025 à 18:10


Le Mac Studio 2025 est compatible avec le HDMI CEC

28/03/2025 à 17:17

• 4


macOS Sequoia empêche l'installation d'une ancienne version de macOS en externe

28/03/2025 à 12:45

• 23


iBoff a développé sa copie du SSD de Mac mini M4, vendue à un prix plus faible qu'Apple

28/03/2025 à 11:15

• 26


GPT-4o : OpenAI peine à suivre la demande pour son nouveau générateur d’images

28/03/2025 à 09:58

• 35


Final Cut Pro se met aussi à la page Image Playgrounds sur le Mac

28/03/2025 à 07:57

• 10


Test du BenQ MA270U : un écran 4K pensé pour le Mac

27/03/2025 à 23:30

• 16


Xhamster et Tukif toujours disponibles en France, protégés du gourdin français par la législation européenne

27/03/2025 à 21:45

• 57


Waymo : l’humain responsable dans quasi tous les cas d’accident avec une voiture autonome de la marque

27/03/2025 à 21:00

• 42


Une RC2 pour macOS 15.4 avec Apple Intelligence et les catégories dans Mail 🆕

27/03/2025 à 19:29

• 23


WhatsApp peut remplacer Téléphone et Messages dans iOS 18

27/03/2025 à 17:53

• 112


Bouygues est déjà dans l'après-ADSL en supprimant ses offres d'abonnement

27/03/2025 à 16:40

• 18